Les groupes de défense des services bancaires et financiers américains ont demandé à la Securities and Exchange Commission pour abroger ses exigences de divulgation publique incidente en cybersécurité.

Cinq groupes bancaires américains dirigés par l'American Bankers Association ont demandé au régulateur de supprimer sa règle dans une lettre du 22 mai

American banking and financial industry advocacy groups have petitioned the Securities and Exchange Commission to repeal its cybersecurity incident public disclosure requirements.

Les groupes de défense des services bancaires et financiers américains ont demandé à la Securities and Exchange Commission pour abroger ses exigences de divulgation publique incidente en cybersécurité.

Five US banking groups asked the regulator to remove the rule in a May 22 letter, arguing that disclosing cybersecurity incidents “directly conflicts with confidential reporting requirements intended to protect critical infrastructure and warn potential victims.”

Cinq groupes bancaires américains ont demandé au régulateur de supprimer la règle dans une lettre du 22 mai, faisant valoir que la divulgation des incidents de cybersécurité «entre en conflit directement avec les exigences de déclaration confidentielles destinées à protéger les infrastructures critiques et à avertir les victimes potentielles».

The group, which also included the Securities Industry and Financial Markets Association, the Bank Policy Institute, Independent Community Bankers of America and the Institute of International Bankers, claimed that the rule compromises regulatory efforts to enhance national cybersecurity.

Le groupe, qui comprenait également la Securities Industry and Financial Markets Association, le Bank Policy Institute, Independent Community Bankers of America et l'Institute of International Bankers, a affirmé que la règle compromet les efforts réglementaires pour améliorer la cybersécurité nationale.

The SEC’s Cybersecurity Risk Management rule, published in July 2023, requires companies to rapidly disclose cybersecurity incidents such as data breaches or hacks. However, the banking groups argue this rule was flawed from the start and has proven problematic in practice since taking effect.

La règle de gestion des risques de cybersécurité de la SEC, publiée en juillet 2023, oblige les entreprises à divulguer rapidement des incidents de cybersécurité tels que les violations de données ou les hacks. Cependant, les groupes bancaires soutiennent que cette règle a été imparfaite dès le début et s'est avérée problématique dans la pratique depuis qu'il a pris effet.

The banking bodies said that the “complex and narrow disclosure delay mechanism” interferes with incident response and law enforcement and creates “market confusion” between mandatory and voluntary disclosures.

Les organismes bancaires ont déclaré que le «mécanisme de retard de divulgation complexe et étroit» interfère avec la réponse des incidents et les forces de l'ordre et crée une «confusion du marché» entre les divulgations obligatoires et volontaires.

Public disclosure has also been “weaponized as an extortion method by ransomware criminals to further malicious objectives,” and premature disclosures worsen insurance and liability issues for companies and “risks chilling candid internal communications and routine information sharing,” the group claimed.

La divulgation publique a également été «armée comme une méthode d'extorsion par les criminels de ransomwares à des objectifs malveillants» et les divulgations prématurées aggravent les problèmes d'assurance et de responsabilité pour les entreprises et «risque les communications internes franches et le partage d'informations de routine franc», a déclaré le groupe.

The groups specifically want “Item 1.05” to be rescinded from the SEC’s rules for Form 8-K reporting and parallel reporting requirements applicable to Form 6-K.

Les groupes souhaitent spécifiquement que «l'article 1.05» soit annulé des règles de la SEC pour les exigences de rapport 8-K et de rapport parallèle applicables au formulaire 6-K.

Form 8-K is used to publicly notify investors in US public companies of specified events, including cybersecurity incidents, that may be important to shareholders or the SEC.

Le formulaire 8-K est utilisé pour informer publiquement les investisseurs des sociétés publiques américaines d'événements spécifiés, y compris les incidents de cybersécurité, qui peuvent être importants pour les actionnaires ou la SEC.

“Critically, without Item 1.05, investor interests will still be protected, and we believe they would be better served through the pre-existing disclosure framework for reporting material information, which may include material cybersecurity incidents,” the groups stated.

"De manière critique, sans le point 1.05, les intérêts des investisseurs seront toujours protégés, et nous pensons qu'ils seraient mieux servis dans le cadre de divulgation préexistant pour la déclaration des informations matérielles, qui peuvent inclure des incidents de cybersécurité importants", ont indiqué les groupes.

Related: Hackers using fake Ledger Live app to steal seed phrases and drain crypto

Connexes: des pirates utilisant une fausse application Live Ledger pour voler des phrases de graines et égoutter la crypto

The full petition included examples of confusion from participants, specific incidents of ransomware attacks and documented regulatory conflicts.

La pétition complète comprenait des exemples de confusion des participants, des incidents spécifiques d'attaques de ransomwares et des conflits réglementaires documentés.

Public crypto companies impacted

Les entreprises publiques de crypto ont eu un impact

The requirement also impacts publicly listed crypto companies such as Coinbase, which disclosed earlier this month that hackers had bribed its support staff to leak its user data.

L'exigence a également un impact sur des sociétés cryptographiques cotées en bourse telles que Coinbase, qui a révélé plus tôt ce mois-ci que les pirates avaient soudoyé son personnel d'assistance à fuir ses données utilisateur.

The disclosure saw the company hit with at least seven lawsuits over the requirement.

La divulgation a vu la société frapper avec au moins sept poursuites sur l'exigence.

Coinbase said that it rejected a $20 million ransom demand after staff leaked user data in a major phishing attack, which the exchange said could cost it up to $400 million in damages.

Coinbase a déclaré qu'il avait rejeté une demande de rançon de 20 millions de dollars après que le personnel avait divulgué les données des utilisateurs dans une attaque de phishing majeure, qui, selon l'échange, pourrait lui coûter jusqu'à 400 millions de dollars en dommages-intérêts.

If the SEC rescinds the requirement, it may give firms such as Coinbase more time to disclose cybersecurity incidents to the public.

Si la SEC annule l'exigence, elle peut donner aux entreprises telles que Coinbase plus de temps pour divulguer les incidents de cybersécurité au public.